Отраслевой стандарт ОСТ 32.17–92 «Безопасность железнодорожной автоматики и телемеханики. Основные понятия. Термины и определения» дает следующее определение ответственной информации – это информация, используемая в дискретной системе, искажение которой переводит систему в опасное состояние. В системах ЭЦ к такой информации относится вся информация, связанная с обеспечением безопасности при установке, замыкании и размыкании маршрутов.

В релейных системах ЭЦ существуют два случая передачи ответственной информации. Первый случай связан с передачей информации из блока в блок в блочных системах. Например, в блочной маршрутно-релейной централизации (БМРЦ) информация об установке, замыкании и размыкании маршрутов передается между блоками (рис. 3.40, а) по восьми проводам (цепям). По первой цепи построена схема контрольно-секционных реле (КС), по второй и третьей цепям – схема сигнальных реле (С), по четвертой и пятой цепям – схема маршрутных реле (М), по шестой цепи – схема реле разделки (Р), по седьмой и восьмой цепям – схема индикации (И). Такой способ передачи информации является безизбыточным и называется прямопроводным (рис. 3.41, а). В этом случае некоторое условие безопасности А передается из блока 1 при замыкании фронтового контакта А в блок 2, где включается реле А. Безопасность передачи обеспечивается тем, что контакт А и реле А являются элементами первого класса надежности.

Второй случай связан с передачей информации на расстояние между постом ЭЦ и горловинами станции для управления и контроля станционными напольными объектами. Здесь также используется прямопроводный способ передачи информации по кабельным линиям (рис. 3.42). От поста ЭЦ до разветвлительной муфты М прокладывается групповой кабель, а затем – индивидуальный кабель. На рис. 3.41, б приведена упрощенная схема прямопроводного управления стрелочным электродвигателем Д по кабельной линии. В этом случае используются два провода, и обязательным является двухполюсное размыкание цепей питания с помощью фронтовых контактов (ПС – пусковое стрелочное реле). Это обеспечивает защиту от ложного включения двигателя Д при попадании питания в жилу кабеля при сообщении жил.

Достоинством прямопроводного способа является высокий уровень безопасности передачи ответственной информации. В схеме (рис. 3.41, а) опасный отказ возникает, если произошел опасный отказ контакта А в блоке 1 или опасный отказ реле А в блоке 2. Примем величину интенсивности опасного отказа реле первого класса надежности, согласно [3.3],  = 1,4 10^–11 1/час. Тогда для данной схемы  = 2  = 2,8 10^–11 1/час.

Опасный отказ в схеме (рис. 3.41, б) (ложное включение двигателя Д) возникает в результате одновременного сообщения жил кабеля с двумя полюсами постороннего источника питания (рис. 3.43). Интенсивность отказов такого сообщения оценивается величиной  = (1,2¸1,3) × 10^–12 1/ч [3.12, 3.13].

Таким образом, безопасность прямопроводной передачи ответственной информации (рис. 3.41, а) соответствует безопасности реле первого класса надежности.

Прямопроводный способ передачи информации является безизбыточным. В результате этого он имеет два недостатка. Первый недостаток определяется сравнительно невысокой надежностью кабельных линий относительно потери информации (несмотря на высокую надежность относительно появления ложной информации). Интенсивность потока отказов кабеля в расчете на 1 км независимо от числа жил находится в среднем в пределах (1,0 …1,6) × 10^–6 1/ч. Поэтому кабельные линии дают около 8% от числа всех отказов элементов ЭЦ [3.4]. Второй недостаток состоит в многопроводности (многоканальности) кабельных линий. При строительстве ЭЦ стоимость кабеля и кабельных работ составляют значительную долю (до 30%) всех расходов.

В микропроцессорных централизациях указанные недостатки устраняются за счет введения избыточности в передаваемую информацию (применения корректирующих кодов) и за счет замены прямопроводных способов передачи на телемеханические способы (там, где это целесообразно). Поясним эти принципы на примере типичной структуры МПЦ с распределенной конфигурацией (рис. 3.44). Подобную структуру имеет, например, система Ebilock 950 [3.14]. Центральный компьютер централизации реализует логику ЭЦ, проверяет условия безопасности движения поездов, формирует управляющие команды для напольных станционных устройств и обрабатывает контрольную информацию. Связь центрального компьютера с напольным оборудованием осуществляется через концентраторы и объектные контроллеры (ОК). Последние располагаются в горловинах станции в непосредственной близости от управляемых объектов. Для этого используются специальные шкафы и контейнеры.

Данная структура имеет три типа каналов передачи информации. Каналы типа 1 являются телемеханическими каналами для передачи на расстояние данных между центральным компьютером и концентраторами. Концентратор является промежуточным передаточным элементом от центрального компьютера к объектному контроллеру. Сообщения, которые передаются по каналу типа 1, составляют ответственную информацию и к ним предъявляются высокие требования по безопасности. Поэтому для защиты от искажений здесь используется информационная избыточность (корректирующие коды). Передача данных может осуществляться по симметричному медному или оптоволоконному кабелю.

Каналы типа 2 используются для передачи данных между концентраторами и объектными контроллерами. Последние принимают от концентратора управляющие приказы, передаваемые центральным компьютером, и преобразуют их в электрические сигналы для управления напольными устройствами. Контрольные сигналы, принятые от напольного оборудования, преобразуются в объектном контроллере в сообщения и через концентраторы передаются в центральный компьютер. Каналы типа 2 используются внутри одного шкафа или контейнера и для их построения может быть использована шинная организация передачи информации (рис. 3.40, б) с применением корректирующих кодов.

Каналы типа 3 связывают объектные контроллеры и напольные устройства для передачи сигналов управления и контроля. Так как при распределенной конфигурации МПЦ расстояния между ними невелики здесь целесообразно использовать прямопроводное управление с помощью кабельных линий.

Для всех типов каналов вероятность опасного отказа при передаче ответственных команд включает в себя три составляющие: вероятность опасного отказа передающей аппаратуры, вероятность опасного отказа в канале связи и вероятность опасного отказа приемной аппаратуры. В этом случае интенсивность опасного отказа при передаче ответственных команд  составит:

 = ,                             (3.26)

где , ,  – интенсивность опасных отказов соответственно передающей, приемной аппаратуры и в канале связи.

Примем в качестве значений  и  величину  = 1,4 × 10^–11 1/ч, а в качестве значения  – величину интенсивности двухполюсного сообщения в кабеле  = 1,2 × 10^–12 1/ч. С учетом формулы (3.26) интенсивность опасного отказа при передаче ответственной информации составит:

 = 2,92 × 10^–11 » 3 × 10^–11 1/ч.                   (3.27)

Это значение принимается в качестве допустимой интенсивности опасного отказа при прямопроводном и телемеханическом способах передачи информации [3.15].

Чтобы получить необходимый уровень достоверности и безопасности используются четыре основных метода:

– применение избыточных (корректирующих) кодов;

– многократное повторение и накопление сообщений;

– использование обратной связи (квитирование);

– применение кодирующей и декодирующей аппаратуры, защищенной от отказов.

Применение избыточных кодов позволяет обнаруживать или исправлять ошибки, возникающие в каналах связи. Для этого необходимо, чтобы выполнялись соответственно условия:

,                                      (3.28)

,                                      (3.29)

где t –кратность ошибки (число искаженных разрядов кодового слова);  – кодовое расстояние (число разрядов, которыми различаются два кодовых слова).

Покажем эффективность применения избыточных кодов для повышения безопасности передачи ответственной информации на простом примере. Пусть надо передать 4 ответственные команды по каналу связи, в котором вероятность искажения одного элементарного сигнала равна 10^–4. Неизбыточный код для этой цели имеет два разряда:

1 2

0 0

0 1                                         (3.30)

1 0

1 1

Введем обозначения: п – длина кода (число разрядов); р – вероятность отсутствия искажения одного разряда кодового слова; Р – вероятность правильного приема кодового слова;  – вероятность обнаружения ошибки;  – вероятность неправильного приема (необнаружения ошибки).

Неизбыточный код не обнаруживает ошибки, и указанные вероятности для него определяются по формулам:

;  = 0; .

В нашем примере (  = 0,9999, п = 2) имеем:

 (0,9999)² = 0,99980001;

 = 0,00019999 @ 2 × 10^–4.

Вероятность  есть вероятность возникновения опасного события – неправильного приема ответственной команды.

Чтобы уменьшить величину , введем минимальную избыточность в процедуру кодирования. Добавим один дополнительный (контрольный) разряд и применим код с контролем на четность:

1 2 3

0 0 0

0 1 1

1 0 1

1 1 0 .

Все слова этого кода имеют четное число единиц. Кодовое расстояние  = 2. Код обнаруживает все ошибки нечетной кратности, которые нарушают четность (в том числе и одиночные), Для него имеем:

,

по всем нечетным ;

по всем четным .

    Для нашего примера

Р = (0,9999)³ = 0,99970002999;

 =

= 3 × 0,0001 × (0,9999)² + (0,0001)³ = 0,000299940004;

 =

= 3 × (0,0001)² × 0,9999 = 0,000000029997 » 3 × 10^–8.

Таким образом, даже минимальное увеличение избыточности кода введением одного контрольного разряда уменьшает вероятность ошибочного приема ответственной команды почти на четыре порядка (в 6666 раз). Достоверность передачи команды (  = 0,999999970003) характеризуется семью девятками после запятой (вместо трех). Тем не менее величина  = 3 × 10^–8 не всегда является приемлемой. Так, согласно ГОСТ 26.205–88, телемеханические комплексы I категории должны обеспечивать вероятность трансформации команд в канале связи не более 10^–14 [3.15]. Это требует применения кодов с бóльшей избыточностью.

В качестве таких кодов используются коды с постоянным весом, корреляционные коды, коды Бергера. Для обнаружения и исправления ошибок применяются коды Хэмминга и циклические коды.

Эффективным способом повышения достоверности передачи ответственной информации является метод многократного повторения и накопления сообщений. В этом случае кодовые слова безизбыточного или избыточного кода передаются несколько раз последовательно во времени (не обязательно непосредственно друг за другом) и затем сравниваются принятые сообщения.

Передадим, например, дважды слова кода (3.30). Тогда получаем следующие четыре разрешенных кодовых слова

1 2 3 4

0 0 0 0

0 0 0 1

1 0 1 0

1 1 1 1.

При этом не обнаруживаются ошибки четной кратности двух видов: ошибки двух разрядов, содержащих искажения одинаковых элементов в обоих частях кодовых слов (например, 0000 ® 0101), и ошибки, содержащие искажения всех четырех разрядов (например, 0000 ® 1111). Поэтому

.

Если р = 0,9999, то  @ 1,9996 × 10^–8.

Обозначим через  – допустимую вероятность трансформации ответственных команд в канале связи. Должно выполняться неравенство  < . Пусть  = 10^–14. Тогда в нашем примере это неравенство не выполняется. Чтобы оно выполнялось необходимо повторять сообщения, по крайней мере, четыре раза. В этом случае получаем следующие четыре кодовых слова

Тогда

.

Если р = 0,9999, то  @ 1,9992 × 10^–16 и неравенство  <  выполняется.

В общем случае число k повторений ответственных команд определяется из неравенства

,                    (3.31)

где п – число разрядов неизбыточного кода.

При малом значении р можно ограничиться первым слагаемым суммы и неравенство (3.31) принимает вид

.                         (3.32)

Обеспечить высокую степень достоверности и безопасности передачи информации с мéньшей избыточностью можно, используя в телемеханической системе обратную связь. В этом случае на приемном пункте принятая команда дешифрируется, но сначала не выполняется, а вырабатывается информационное сообщение («квитанция»), которое по обратному каналу передается на передающий пункт. Различают системы с информационной (ИОС) и решающей (РОС) обратной связью.

В системах с ИОС решение о правильности приема команды принимается на передающей стороне. По обратному каналу передается (возвращается) либо принятое кодовое слово, либо специальные контрольные символы. Если искажение отсутствует, передатчик посылает разрешение на исполнение команды. В противном случае команда повторяется. Допускается восьмикратная повторная передача при искажении команд.

В системах с РОС решение принимается на приемной стороне. Если команда принята, то по каналу обратной связи подается сигнал подтверждения (квитирования). При обнаружении ошибки посылается запрос на повторение сообщения.